Een privacyverklaring op je website, waar moet deze aan voldoen?

Door: Mr. André Kamps, CIPP/E CIPM AVG, ICT-recht, intellectueel eigendom, escrow, geschillen

Bijna elk mkb-accountantskantoor onderhoudt een website en is verplicht om daar volgens de Algemene Verordening gegevensbescherming (AVG) een privacyverklaring op aan te bieden. Het hebben van een privacyverklaring is een manier om te voldoen aan de verplichtingen uit artikelen 12, 13 en 14 (transparantie) uit de AVG.

Waar moet de privacyverklaring aan voldoen?

In een privacyverklaring dient de mkb-accountant de volgende zaken te beschrijven:

  1. de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  2. de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking hierop is gebaseerd; in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens (bv: een notaris of de belastingdienst);
  3. in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie;
  4. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
  5. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of het wissen van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  6. wanneer de verwerking op toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
  7. of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
  8. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4 AVG, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Deze zaken dienen dus minimaal op een leesbare manier terug te vinden zijn op de website van het mkb-accountantskantoor.

En hoe zit het met cookies?

Indien het kantoor via de website cookies gebruikt, dient in een zogenaamde cookieverklaring worden uitgelegd welke cookies op welke manier gebruikt worden en dient er indien van toepassing (o.a. bij tracking cookies) toestemming worden gevraagd voor de inzet van cookies.

Verschil tussen privacyverklaring en privacybeleid

De doelgroep van de privacyverklaring is de betrokkene (de klant van de mkb-accountant / de bezoeker van zijn website) en is dus in principe extern gericht. Het privacybeleid is met name een intern document wat handvaten moet geven aan de medewerkers van het mkb-accountantskantoor. Het is ook een manier om aan een toezichthouder (bijvoorbeeld Autoriteit Persoonsgegevens) te laten zien, hoe het kantoor omgaat met persoonsgegevens. Het hebben en onderhouden van een privacybeleid is een verplichting die volgt uit artikel 24 uit de AVG waarin de verwerkingsverantwoordelijke wordt verplicht om te kunnen aantonen, dat verwerkingen van persoonsgegevens in overeenstemming met de AVG worden uitgevoerd. De AVG stelt geen duidelijke randvoorwaarden aan hoe het privacybeleid er uit moet zien, terwijl dat bij een privacyverklaring wel duidelijk is afgebakend.

Wilt u meer weten over dit onderwerp, maak dan gebruik van het Novak-Kwaliteitssysteem of de Novak DIRECT servicedesk.